Kritische Bedrohungslage für Unternehmen durch zunehmende Cyberangriffe
Cyberangriffe
Die Bedrohung durch Cyberangriffe ist in Deutschland deutlich gewachsen. Das geht aus dem Lagebericht 2021 des Bundesamts für Sicherheit in der Informationstechnik hervor. Darin wird die aktuelle Situation als "angespannt bis kritisch" eingeschätzt.
Mit einer Zunahme von mehr als 20% im Vergleich zum Vorjahr wurde ein neuer Höchstwert an im Umlauf befindlichen Schadprogrammen ermittelt. Neben der steigenden Zahl von Cyberangriffen wird auch auf eine zunehmende Professionalisierung von Cyberkriminellen und ihren Angriffsmethoden hingewiesen.
Des Weiteren wird bei Ransomware-Angriffen immer öfter auch damit gedroht, zuvor gestohlene Daten zu veröffentlichen. Mit dieser Schweigegelderpressung erhöhen Cyberkriminelle den Druck auf Betroffene.
Auch sogenannte DDoS-Angriffe, bei denen es durch Netzwerkangriffe auf Webressourcen und Internetdienste zu massiven Störungen bis hin zur Nichtverfügbarkeit der Kommunikationsdienste von Unternehmen kommt, haben im Berichtszeitraum deutlich zugenommen. Sie werden dazu eingesetzt, Schutzgeld zu erpressen.
Das Bundesamt für Sicherheit fordert daher, dass Informationssicherheit einen deutlich höheren Stellenwert in Unternehmen einnehmen und zu einem notwendigen Aspekt bei allen Digitalisierungsprojekten werden muss.
Seitens der Unternehmen sind interne Strukturen und geeignete IT-Sicherheitspräventionen zu entwickeln, um sich durchgängig vor potenziellen Cyberangriffen zu schützen und so den Geschäftsbetrieb sicherzustellen. Zudem dürfen im Rahmen von Digitalisierungsprojekten nicht nur funktionale Aspekte betrachtet werden. Es ist genauso wichtig, grundlegende IT-Sicherheitsanforderungen innerhalb dieser Projekte zu beachten und umzusetzen.
Mit unserem Tochterunternehmen 4sConsult GmbH bieten wir unseren Mandanten seit mehreren Jahren eine herstellerunabhängige IT-Security Beratung an.
Auf Basis einer IT-Security Analyse wird mit einem gesamtheitlichen Ansatz eine Bewertung des IT-Sicherheitsniveaus im betreffenden Unternehmen vorgenommen. Hier werden insbesondere organisatorische und prozessuale Themen wie bspw. ein Berechtigungskonzept und -management, Passwort-Richtlinien, das Update- und Patchmanagement sowie ein Backup/ Recovery Konzept hinsichtlich ihres Reifegrades beurteilt.
Durch Penetrationstests können zusätzliche technische Schwachstellen identifiziert und aufgezeigt werden, welcher Schaden durch die Ausnutzung dieser Schwachstellen verursacht werden kann. Dabei kommen unterschiedliche Hilfsmittel zum Einsatz, die in Randbereiche der IT reichen, um Einfallstore ausfindig zu machen. Unsere zertifizierten Penetrationstester arbeiten entweder Hand-in-Hand mit der Unternehmens IT oder agieren als externer Angreifer ohne Vorwissen der internen IT-Abteilung.
Mit Hilfe von Social Engineering kann der Faktor Mensch in den Fokus gestellt werden. In den meisten Fällen gelingt es Hackern durch unachtsames Handeln von Mitarbeitern, Zugang zur IT eines Unternehmens zu bekommen und diese zu kompromittieren. Hier kann man durch verschiedene Tests, wie bspw. E-Mail-Phishing-Kampagnen herausbekommen, wie sensibel die Mitarbeiter eines Unternehmens reagieren.
Auf Basis der Ergebnisse der Analysen und Tests werden priorisierte Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus aufgezeigt.